GUA DE ESTUDIO PARA ACE

*Nota* Todas las preguntas del examen son de opcin mltiple. Esta Gua de Estudio cubre todo el material que corresponde al examen. 1. FTK Imager soporta el cifrado de archivos de imagen forenses. Cules son los dos mtodos que se puede usar para el cifrado? !- Contrasea !- Certificado (*.pfx, *.p12, *.pem) 2. Cuando se crea una Lista de Valores Hash de Archivos en Imager, qu informacin se incluye en el archivo? !- Hash MD5 !- Hash SHA1 !- Nombres de los archivos (Incluyendo la ruta) 3. Cul es el panel de Imager que muestra informacin especfica a los sistemas de archivo como HFS+, NTFS y Ext2? !- Panel Properties (Propiedades) 4. Qu tipo de evidencia se puede agregar en FTK Imager? !- Unidad fsica !- Unidad lgica !- Archivo de imagen !- Contenido de una carpeta 5. Nombre tres caractersticas de la funcin Image Mounting (Montaje de imagen) en Imager y en FTK. - Navegar sistemas de archivos en Windows Explorer (Ext2, HFS+, etc) que normalmente no se reconocen. - Correr un software antivirus en imgenes montadas. - Hacer escritura virtual en la imagen montada usando un archivo en cach. - Correr software de terceros en la imagen montada. - Navegar la estructura de directorio sin hacer cambios usando la opcin de montaje Read-Only (Slo lectura). 6. Qu tipo de formatos de archivo de imagen permite crear Imager? !- RAW(DD) - *.001 !- SMART - *.S01 !- EnCase - *.E01 !- Advanced Forensic Format - *.AFF !- AD Custom Content (Imagen lgica) - *.AD1 7. Nombre cuatro caractersticas de las Imgenes Custom Content. !- Extensin de archivo *.AD1 !- Slo archivos lgicos sin el slack del archivo !- Puede incluir subdirectorios recursivos !- Puede incluir el espacio no asignado 8. Qu herramientas forenses de AccessData tienen la funcionalidad de Intrprete de Valores Hexadecimales (Hex Value Interpreter)? !- FTK Imager !- FTK

!- FTK ! Registry Viewer 9. Nombre tres funciones del Informe Sinptico del Visor del Registro (Registry Viewer Summary Report) !- Puede mostrar valores especficos en una clave del registro. !- La funcin de Comodn (Wildcard) permite crear plantillas del registro. !- Se pueden documentar mltiples reas de un archivo del registro. 10. Nombre dos funciones de un rea Comn del Visor del Registro (Registry Viewer Common Area)? !- Ofrece accesos directos o marcadores para las claves del registro que se visitan con frecuencia !- Se pueden agregar claves adicionales para personalizarlo 11. Nombre tres de los campos que se muestran para la cuenta del usuario de Windows en el panel Propiedades (Properties) del Visor del Registro (Registry Viewer) cuando se visualiza el archivo SAM. !- Identificador nico SID !- Hora del ltimo registro en el sistema (Logon) !- Nombre del usuario !- Conteo de registros en el sistema (Logon Count) !- ltimo cambio de contrasea !- Requiere contrasea 12. Qu tipos de bsquedas se pueden realizar en el Visor del Registro (Registry Viewer)? !- Bsqueda estndar (Standard Search) siguiente instancia de un trmino de bsqueda !- Bsqueda avanzada (Advanced Search) todas las instancias de un trmino de bsqueda !- Bsqueda de una clave con la fecha de la ltima escritura: !i. para un rango de fechas !ii. durante y despus de una fecha dada !iii. durante y antes de una fecha dada 13. Cmo se crea el Golden Dictionary en PRTK? !- Se autogenera a partir de contraseas satisfactoriamente recuperadas en la computadora local. 14. Nombre los cuatro tipos de ataques indicados en el men PRTK Help > Recovery Modules (Ayuda de PRTK > Mdulos de recuperacin)? !- Diccionario !- Descrifrado !- Keyspace !- Resetear 15. Nombre las cuatro principales secciones de un Perfil de ataque de PRTK (PRTK Attack Profile). !- Diccionarios !- Reglas (niveles) !- Idiomas !- Grupos de caracteres 16. Cul de los 5 archivos del registro (SAM, SYSTEM, SECURITY, SOFTWARE, NTUSER.DAT) puede atacar PRTK para buscar posible informacin cifrada o contraseas? !- SAM, SECURITY, NTUSER.DAT 17. Qu tipo de campos estn disponibles en el Diccionario Biogrfico de PRTK? - Nombre, Direccin, Ciudad, Estado, Cdigo Postal, Pas, Telfono, Fecha, Nmero, Palabra, Frase. 18. Cules son los tres tipos de hash "tradicional" que se pueden hacer en el preprocesamiento de FTK?

FTK? !- MD5 ! SHA1 ! SHA256 19. Cmo se puede determinar la ubicacin y el padre de un elemento grabado automticamente (carving) en FTK? - Al hacer clic en el elemento recientemente grabado, el padre aparecer en la ruta que se indica en la parte inferior de la pantalla. El nombre del padre aparece a la izquierda del nombre del hijo. - La ubicacin del elemento grabado (offset/posicin del cursor) dentro del padre est indicada por el nmero que est en el nombre del archivo. 20. Cules son las principales secciones del informe de FTK? !- Informacin del caso !- Marcadores !- Grficos !- Videos !- Rutas de los archivos !- Propiedades de los archivos !- Selecciones del registro !- Captura de pantalla

21. Nombre tres restricciones para un usuario asignado como Revisor del Caso (Case Reviewer) en FTK. !- No puede ver Archivos privilegiados !- No puede agregar evidencia !- No puede realizar Anlisis adicionales !- No puede Desencriptar archivos !- No puede crear filtros 22. Cundo se puede realizar Recuperacin o Grabacin de datos (Data Carving) en FTK? !- Durante el preprocesamiento !- Despus de crear el caso 23. Cul sera la ventaja de realizar la Recuperacin o Grabacin de datos (Data Carving) despus de crear el caso? - Se puede realizar en grupos ms reducidos de archivos (verificados, Quick Picked) en lugar de todo un caso. 24. Cul de los siguientes archivos NO se debe encontrar en el contenedor de archivos de Internet/Chat de la Pestaa Overview (Vista General) de FTK? !a. Firefox places.sqlite !b. Internet Explorer Index.dat !c. Skype main.db !d. Yahoo *.DAT 25. Qu Expresin Regular encontrara la cadena numrica "123-422-17365"? !a. (\d{3}[\- ]){2}\d{17365} !b. (\d{3}[\- ]){2}\d{5} !c. (\d{3}[\- ]){3}\d{5} !d. (\d{3}[\- ]){422}\d{5} 26. Cules son las ventajas de importar una lista de trminos de bsqueda a la Pestaa Bsqueda indexada (Indexed Search) en FTK? !- Es ms rpido que la entrada manual

!- Es ms rpido que la entrada manual ! Se puede usar una lista de trminos de bsqueda comn en mltiples casos. 27. Indique los pasos necesarios para la recuperacin o grabacin de un archivo EFS cifrado en FTK. 1. Identificar el archivo cifrado General > Estatus de archivo > Archivos cifrados (Overview > File Status > Encrypted Files). 2. Visualizar el archivo en el rbol de la Pestaa Explorar (Explore); buscar la cadena $EFS en Lista de archivos (File List). 3. Observe quin es el usuario de Windows que cifr el archivo en la cadena $EFS. 4. Exporte los archivos SAM y SYSTEM para descrifrarlos en PRTK. (ataque por diccionario). 5. Despus de obtener la contrasea de Windows del archivo SAM, ingresar dicha contrasea en FTK. 6. Visualizar el archivo descifrado como un subelemento del archivo cifrado o Estatus de archivo > Archivos descrifrados. 28. Cundo se puede realizar la opcin de procesamiento Expandir archivos compuestos (Expand Compound Files)? !- Durante el preprocesamiento !- Despus de crear el caso Evidencia > Anlisis adicional (Evidence > Additional Analysis) 29. Qu tipos de archivos se benefician de la opcin de procesamiento Expandir archivos compuestos (Expand Compound Files)? !- Archivos zip, EVTX, Correo (PST, mbox, msg, NSF), MS Office OLE, Registry, SQLite) 30. Cules son los cinco tipos de ajustes personalizdos que se pueden compartir entre casos desde el men Administrar (Manage) en FTK? !- Hash Sets y Grupos KFF !- Etiquetas !- Recuperadores o Grabadores (Carvers) !- Filtros !- Columnas 31. Cules son las dos opciones para generar miniaturas de archivos de video en FTK? !- Porcentaje (Cada "n" por ciento) !- Intervalo (Cada "n" segundos) 32. Cmo se llena la pestaa Voltil (Volatile) en FTK? - A travs del men Administrar > Agregar datos remotos (Manage > Add Remote Data) - A travs del men Administrar > Importar volcado de memoria (Manage > Import Memory Dump) 33. Nombre dos maneras de limitar el alcance de una bsqueda Indexada en FTK. !- Usar filtros !- Usar archivos verificados 34. Cul es la ventaja de abrir los archivos del registro con Registry Viewer dentro de un caso en FTK? - Hay una vista ms detallada que la vista predeterminada de FTK. - Los informes generados en el Visor del Registro (Registry Viewer) se pueden vincular al informe de FTK. 35. Qu aplicaciones se pueden lanzar dentro de FTK? !- FTK Imager !- Registry Viewer !- PRTK

!- PRTK ! License Manager ! Language Selector 36. Qu archivos del registro mostrarn contenido en una tabla HTML en FTK usando el procesamiento predeterminado? !- SAM (informacin de la cuenta de Usuario) !- SOFTWARE (informacin de la instalacin) !- SYSTEM (informacin de zona horaria) 37. Cul es el objetivo de la opcin de procesamiento Informes del Registro (Registry Reports) en FTK? !- Procesa automticamente los Informes Sinpticos del Registro. !- Se debe seleccionar el Anlisis de firma de archivo (File Signature Analysis). !- Slo se corren los archivos RSR en el directorio designado. !- Se puede incorporar en el informe de FTK. 38. Qu formatos de hash sets se pueden importar a FTK? !- Base de datos Hash de AccessData (*.HDB) !- Lista de Hash de FTK Imager (*.CSV) !- Lista de Hash FTK Copy Special Hash List (delimitada por tabuladores) !- Hash Set HashKeeper (*.HKE, HKT.TXT) !- National Software Reference Library (NSRL) !- Archivos delimitados por tabuladores (TSV) !- Archivo Hash (.hash) !- FTK (KFF) Los siguientes son elementos adicionales con los que debe estar familiarizado: 1. Cmo acceder a la informacin EXIF de los archivos de grficos en FTK. 2. Usar el Administrador de filtros (Filter Manager) para aplicar mltiples filtros en FTK. 3. Cmo correr una Expresin Regular y examinar los resultados. 4. Reconocer archivos que son anexos de correo electrnico. 5. Determinar el Tipo de Archivo real cuando un archivo tiene una extensin de archivo incorrecta. 6. Captura de RAM puede haber cambios en la fuente ( sin proteccin contra escritura) 7. Visualizacin y captura de pantalla de Social Analyzer. 8. PhotoDNA concepto general. 9. Language ID Opciones, mltiples idiomas dentro de un documento. 10. Descrifrado de archivos en PRTK. 11. Envo de archivos directamente a PRTK desde FTK. 12. Preprocesamiento de archivos RSR en FTK. Updated Aug 2013